PwC タイビジネススタディ

迫り来るサイバー脅威への対応 ~あなたの身近なビジネスメール詐欺~

「迫り来るサイバー脅威への対応
~あなたの身近なビジネスメール詐欺~

1. 近年、サイバー犯罪に関するニュースをよく見ますが、タイにおける日本企業はどのようなサーバーリスクに晒されているのでしょうか。

2. 最近、同じ工業団地内でもビジネスメール詐欺にあったという話を聞きましたが、企業としてどのような対策を取るべきなのでしょうか。

吉川 英一
Senior Manager

2013年にPwCアドバイザリー株式会社 (現PwCアドバイザリー合同会社)に入社。会計不正調査、海外腐敗行為防止法(FCPA)調査を含むフォレンジック領域において10年以上の経験を有する。2015年1月よりPwCタイに赴任し、東南アジアにおける日本人不正専門家の第一人者として、製造業、金融機関と多業種に亘りに、不正調査、不正検出データ分析、不正リスク管理体制の構築、サイバーセキュリティー業務を指揮している。米国公認会計士。日本証券アナリスト協会検定会員。公認不正検査士。

++66 (0)2 844 1249(直通)++66 (0)61 413 0774(携帯)
eiichi.yoshikawa@th.pwc.com

世界中がデジタル化の一途を辿る近年、個人情報の流出やサイバー攻撃による被害に関するニュースを聞かない日はないと言っていいほど、全ての企業、個人、政府はサイバーリスクの脅威に晒されています。日本でも、仮想通貨取引所のコインチェックが仮想通貨NEMを流出した事件は記憶に新しいかと思います。

また、2017年5月には、身代金型マルウェアであるランサムウェア「WannaCry」が世界中で大流行し、少なくとも150カ国30万台以上のコンピュータが感染したと発表されました。このランサムウェアは、ネットワーク経由でコンピュータへ侵入し、ファイルを暗号化し、その解除に係る身代金としてビットコイン300ドル相当を要求するという性質を持っており、日本企業を含む多数の民間企業、政府機関、個人が被害を受けました。

このようなサイバー脅威はタイにおいても例外ではありません。PwCが実施した「世界経済犯罪実態調査2018」のタイ分析版によると、21%の企業が過去2年間にサイバー攻撃を経験したと回答しています。

数あるサイバー犯罪の中で、最近筆者が最も多く相談を受けるのが、「ビジネスメール詐欺」被害です。ビジネスメール詐欺とは、不正行為者が、まず標的となる企業の業務メールやドキュメントなどを盗み見て得た情報を基に、標的企業の従業員宛に取引先等を装い「銀行口座が変更になった」等との理由をつけて偽の送金指示メールを送り、最終的に不正行為者の銀行口座に振り込ませる手口です。

一見すると、なぜそんな簡単な詐欺に騙されるのかと不思議に思われるかもしれませんが、ビジネスメール詐欺は、不特定多数をターゲットにしたマスメールとは異なり、不正行為者が事前に取引先または標的企業の端末やネットワークに侵入し、十分に業務内容や取引先との関係性を把握した上で行動しているため、それまでの業務内容や会話から全く不自然さを感じない内容のメールを送ることが出来るのです。

また、なりすましに使用されるメールアドレスに関しても、ドメイン部分を一文字変更した類似のアドレスを用いる場合や、メールのヘッダ表示情報を変更することで標的企業従業員に気づかれにくくなるような様々な細工が施されています。そのため、詐欺メールに返信されたメールは実際の取引先には届かず、標的企業従業員は不正行為者とのやり取りを続けてしまうのです。

さらには、送金先口座の変更に必要な電子署名や社印を付したドキュメント等も偽造し、送られて来る。そのため、標的企業の経理担当者等は、何の疑いを持つことなく、電話等による直接確認をせずに不正行為者の銀行口座に振り込んでしまうのです。このようななりすまし詐欺に使用される対象は外部の取引先に限らず、組織内の上長や社長の場合もあり、業務命令として指示が行われることもあります。

前述の通り、ビジネスメール詐欺は、まず標的企業の業務情報や取引先との関係性等の把握から始まります。では、それらの情報はどのようにして盗まれてしまうのでしょうか。
サイバー攻撃の手法は多種多様ですが、以下に主だったものを紹介します。

1) マルウェアによる情報窃取
端末の情報を外部送信するマルウェアを添付したスパムメールを送り、感染した端末の認証情報や業務情報等の機密情報を窃取する。

2) フィッシングによる認証情報の窃取
フィッシングメールを介し、偽のサイトに誘導し、ログイン情報を入力させ、認証情報を窃取する。

3) 総当たり攻撃(Brute-force attack)による認証情報の窃取
ウェブメールシステムなどに可能な組み合わせをすべて試し、認証情報を窃取する。

このような、認証情報や業務情報の窃取及びなりすましメール詐欺から、企業の重要な資産、情報を守るためには、企業のセキュリティ機能強化等の技術的対策はもちろんのこと、情報セキュリティやサイバー不正に対する従業員の認識の向上、不正支払いを未然に防止するための仕組みが必要となります。

左の表の注意点をプロセスに落とし込み、さらには、従業員に対してしっかり教育してくことが、企業の最低限の責任として求められています。

ビジネスメール詐欺による不正送金を未然防止するための注意点

認証情報や業務情報を守るために

  • 見知らぬ宛先からのメールや添付ファイルは、マルウェアが含まれている可能性が高いので、開かずに破棄する。
  • 銀行やクラウドサービス等から認証情報入力画面への誘導には細心の注意を払う。基本的に、口座情報の確認等の名目で認証情報の入力を求められることはない。
  • 業務に個人の端末、外付けハードドライブ、USBなどの使用を禁止する。
  • 常にセキュリティ対策ソフトを最新版にアップデートし、リアルタイムでネットワークをモニタリングする。

ビジネスメール詐欺による不正送金から身を守るために

  • 取引先からの銀行口座変更依頼、経営陣からの予定にない支払依頼に関するメールを受領した場合、必ず同じ部門内の同僚や担当部署の複数名でその内容を検討し、依頼主に電話または直接確認する。

(資料)PwC作成

PricewaterhouseCoopers
Legal & Tax Consultants Ltd.
15th Floor Bangkok City Tower, 179/74-80
South Sathorn Road, Bangkok 10120, Thailand
Tel: 0 2344 1000

gototop